در طول سال گذشته شاهد بودیم که افسر ارشد امنیتی سابق اوبر در دادگاه فدرال به دلیل سوء مدیریت به نقض داده محکوم شد، یک رگولاتور فدرال رئیس امنیت SolarWinds را به گمراه کردن سرمایه‌گذاران قبل از حمله سایبری خود متهم کرد، و مقررات جدیدی که شرکت‌ها را مجبور به افشای عمومی می‌کند. نقض داده‌های تأثیرگذار در طی چهار روز کاری.

ممکن است به نظر برسد که هرگز زمان خطرناک تری برای کار در امنیت سایبری نبوده است.

اما نکته‌ای از یک پانل در کنفرانس هکرهای ShmooCon در واشنگتن دی سی در روز یکشنبه برای کسانی است که در امنیت سایبری هستند، از چالش‌ها دور نشوند.

اکنون در سال ماقبل آخر خود، ShmooCon هکرها، محققان، مقامات دولتی و مدیران امنیت سایبری را گرد هم می‌آورد تا درباره برخی از مبرم‌ترین مسائل پیش روی جامعه امنیتی بحث کنند. موضوع رایجی که امسال در بین شرکت کنندگان شنیده شد، ماهیت پرخطر کار در خود صنعت امنیت سایبری است. جامعه infosec با خطرات قانونی - شاید یک محصول جانبی ذاتی کار در این زمینه - غریبه نیست، اما از نظارت قانونی فزاینده و عواقب ناشی از کار آگاه‌تر می‌شود.

الیزابت وارتون، وکیل استارت‌آپ، دانت ادواردز، دادستان سابق SEC و سیندی گولا، سرمایه‌گذار فناوری، دیدگاه‌ها و پیش‌بینی‌های خود را در پنلی به اشتراک گذاشتند که به تحلیل چگونگی تغییر ریسک‌های مسئولیت سایبری از جایگاه‌های سطح پایین‌تر تا مدیران اجرایی پرداختند. سوئیت

سال گذشته شاهد معرفی قوانین جدید گزارش‌دهی سایبری SEC بودیم که اکنون شرکت‌ها را ملزم می‌کند تا حوادث امنیتی «مادی» را در پرونده‌های عمومی 8-K ظرف چهار روز کاری افشا کنند. این قوانین در ماه دسامبر اجرایی شدند و در حال حاضر منجر به انبوهی از شرکت‌ها شده است که افشای نقض داده‌های جدید را به کمیسیون SEC ارسال کرده‌اند، زیرا شرکت‌ها متوجه می‌شوند که تأثیر «مادی» به چه معن است. همچنین اولین مورد یک باج افزار باج افزار را مشاهده کرد که از قوانین استفاده می کرد تا شرکتی را که هک کرده بود به دلیل عدم ارائه پرونده به رگولاتورها فراخواند.

ادواردز که اکنون وکیل مدافع و شریک شرکت حقوقی Katen است که در ShmooCon صحبت می‌کرد، گفت: «ما شاهد بسیاری از گزارش‌های اولیه 8-K خواهیم بود و احتمالاً گزارش‌های متعددی درباره هک‌های سایبری مشا به گزارش می‌دهند.

وارتون، بنیانگذار Silver Key Strategies و که قبلاً در تیم پاسخگویی به حوادث باج‌افزار آتلانتا کار می‌کرد، بيان کرد که حوادث سایبری می‌توانند ساعت به ساعت تغییر کنند و ممکن است نیاز به افشاگری‌های بعدی داشته باشند.

"وقتی با یک حادثه برخورد می کنید و هنوز تا زانو پاسخ می دهید، متوجه شده اید، "اوه، شلیک کنید، زباله دانی ما در آتش است!" اما شما حتی متوجه نشده اید که چه موادی در سطل زباله در حال سوختن هستند - و باید گزارش دهی را شروع کنید. افشاگری ها]."

طرف دیگر شفافیت همراه با کار از راه دور این است که چیزهای بیشتری از همیشه یادداشت، ضبط یا به‌طور دیگری ذخیره و مستند می‌شوند. این می تواند برای محققان یک موهبت و برای شرکت ها دردسرساز باشد.

وارتون گفت: «من فرض می‌کنم هر ایمیل یا توسط مادر شما خوانده می‌شود، یا در یک اظهارنامه، یا... در یک شکایت SEC، و این موضوع بحث آبسردکن را تغییر می‌دهد. «از آنجایی که ما لزوماً در دفاتر نیستیم، باید مطمئن شویم که لزوماً آن را به صورت مکتوب نمی‌نویسید و متن در میم‌هایی که به همکاران خود می‌فرستید گم می‌شود، زیرا فکر می‌کردید خنده‌دار است. »

ادواردز گفت: «و رگولاتورها همیشه حس شوخ طبعی خوبی ندارند.

گولا، شریک مدیریت Gula Tech Adventures گفت: «فرهنگ برای یک سازمان ضروری است - به ویژه در کاری که ما انجام می دهیم - زیرا ما اعتماد زیادی داریم. «شرکت‌ها در تلاش هستند تا این فرهنگ را با این چشم که هر کاری انجام می‌دهند تحت نظارت قرار گیرد، به چالش بکشند.»

نه تنها قوانین جدید گزارش‌دهی امنیت سایبری شرکت‌ها و حوادث داده‌های آن‌ها را در معرض توجه عموم قرار می‌دهد، اقدامات اجرایی اخیر فدرال نشان می‌دهد که مدیران امنیت سایبری نیز بخشی از مسئولیت را بر عهده دارند.

در ماه اکتبر، SEC علیه تیموتی براون، مدیر عامل SolarWinds به اتهام گمراه کردن سرمایه‌گذاران در مورد امنیت شرکت قبل از حمله سایبری که توسط جاسوسان روسی در سال 2019 علیه شرکت راه اندازی شد، اتهاماتی مطرح کرد. بسیاری از اتهامات SEC ناشی از نظراتی است که براون ظاهراً در داخل به اشتراک گذاشته است.

گولا، که به عنوان عضو هیئت مدیره خدمت می کند، گفت: «ما همچنین شنیده ایم که بسیاری از مردم نمی خواهند [سیزو شوند] به دلیل این نظارت و به دلیل همه این تله هایی که شما حتی نمی دانید جلوتر از زمان هستند. چندین استارتاپ "لطفا از آن موقعیت دور نشوید. لطفا قدم بردارید و این کار را انجام دهید.»

بر اساس این توصیه، گولا بيان کرد که اسناد نیز می تواند کمک کند. وقتی مدیران باید تغییراتی ایجاد کنند، نقص‌ها را اصلاح کنند یا آموزش امنیت سایبری را بهبود بخشند، اما برنامه‌ها یا بودجه‌شان رد می‌شود، بپرسید: «آیا می‌توانم آن را به صورت مکتوب دریافت کنم؟» وی گفت : "هر کاری که می توانید انجام دهید تا آن چشم سائورون را از روی خود بردارید، پس می توانید به پرتاب حلقه در آتش ادامه دهید تا هر کاری را که باید انجام دهید خاموش کنید - این مهم است. "

گزارش زاک ویتاکر از ShmooCon در واشنگتن دی سی.

خبرکاو